隨著汽車安全事件頻發和政策法規陸續推出，智慧網聯汽車資料安全逐漸走熱，與此同時，行業對於資料安全監管如何落地、廠商如何滿足合規要求，仍存在盲點和難點。

在此背景下，6月2日，由中國智慧網聯汽車產業創新聯盟（CAICV）基礎軟體工作組和資訊保安工作組牽頭舉辦的智慧網聯汽車資料安全研討會（2022）在線上召開，並就智慧網聯汽車資料安全挑戰、監管法規落地、資料治理實踐展開分享與討論。

該研討會也是聯盟基礎軟體工作組（CAIFS）發起的基礎軟體系列研討會首期活動。聯盟基礎軟體工作組組長、國汽智控總經理兼首席技術官尚進博士指出，智慧網聯汽車作為移動的資料中心，資料量和計算量均十分龐大，既帶來了行業挑戰，也帶來了創新機遇。

智慧汽車基礎軟體不是傳統軟體，而是面向“硬體趨同、軟體定義、資料驅動“發展趨勢，在集中和中央域控架構下支撐SDV和SOA 開發所需要的新時代的基礎軟體，它是智慧汽車真正的“核”，與智慧汽車新產業鏈上下游一起，助力主機廠打造自己的“魂”。

尚進博士介紹了聯盟基礎軟體工作組（CAIFS）的現狀：

作為智慧汽車基礎軟體領域的頂尖行業組織，CAIFS目前成員單位超過60家，下設基礎研究組、標準法規組、測試評價組和產業生態組等4個小組，透過基礎研究、標準、測評、示範等工作，推動行業發展。

在車控作業系統研究及標準推出的基礎上，基礎軟體工作組近期推進與基礎軟體緊耦合的資料安全研究。基礎軟體工作組未來將陸續推出車控作業系統、車雲計算等專題研討會，引導智慧駕駛新產業鏈新模式的探索與落地，更好地服務中國汽車產業。

智慧汽車新挑戰：資料無處不在，安全迫在眉睫

隨著汽車智慧化的提升，汽車正在從交通運載工具延伸成為移動智慧終端，汽車產生和收集的資料越來越多，資料將成為汽車的核心資產和價值增長鏈。資料安全體系建設迫在眉睫。

中國智慧網聯汽車產業創新聯盟秘書長公維潔表示，智慧網聯汽車正在呈現“軟體定義汽車、資料驅動設計”態勢，汽車資料正在成為新型的資源，取之不盡，用之不竭。特別是中國在推動車路雲融合的自動駕駛方案落地，我們現在不光有車輛的資料，還由於車路雲網圖的存在，打開了上帝視角，使得資料無處不在，資料安全也面臨更大的挑戰。

在這樣的背景下，公眾對於隱私保護的擔憂也在增加。

中國智慧網聯汽車產業創新聯盟資訊保安工作組組長、北航交通科學與工程學院院長楊世春分享了兩個資料，一是J。D。Power（君迪）與環球時報今年3月釋出的2022中國消費者智慧網聯汽車資料安全和個人隱私意識與顧慮調查資料顯示，只有30%的受訪者對智慧汽車廠商保護隱私資料有信心；另一個數據是2021年全球因OTA召回的缺陷汽車有292萬輛，其中有一類重要原因就是OTA過程中涉及到資料安全問題。

除此之外，資料過度採集、資料孤島、資料權責不清、儲存方式不當、使用流程不安全、缺乏溯源能力、敏感資料隱私資料和其他資料交織在一起等問題也被現場嘉賓屢屢提及，這些都意味著資料安全防護存在巨大的挑戰。

監管視角：合規的內驅力

一系列資料安全政策法規陸續出臺，讓已經過去的2021年成為中國智慧網聯汽車資料安全“元年”。這給汽車廠商帶來准入要求和時間視窗，這也使得從政策到產品層面都需要更加落地的方案。

與會的工信部網路安全域性相關領導表示，工信部立足於行業監管，從政策制定、標準研製、行業實踐等開展資料安全管理工作。

而由於行業尚處於起步和蓄勢起跑階段，資料安全與行業場景的融合還不夠，

未來工信部將進一步研究制定具備操作性和落地性的細化的管理辦法，同時也希望與行業攜手同心協力推動智慧網聯汽車資料安全工作不斷邁上新臺階。

中國電子資訊產業發展研究院副總工程師安暉從評測機構的角度分享了智慧網聯汽車合規體系的三個方面：組織架構、流程制度和技術保障。

首先要建立分層次的組織架構，明確各層級的人員角色與分工；其次要建立資料安全流程制度，將資料安全的制度體系融入到現有的研發流程中，以資料的分類分級管理為基礎，覆蓋智慧網聯企業產品的典型業務場景；最後需要採用防護技術和安全檢測監測等方面的工具平臺，來實現資料全生命週期的技術保障。

國汽智控今年5月釋出了釋出面向量產的車規級智慧汽車資料安全產品ICVSEC2。5，國汽智控資訊保安總監李沛盈分享了相關探索和實踐。

李沛盈表示，

透過對80多部智慧網聯汽車政策法規進行整體梳理，國汽智控資訊保安團隊梳理出政策法規眾多實施難點，結合車規要求對資料安全產品功能進行最佳化。

如自動駕駛資料在採集階段獲取的，但是因為隨著資料的融合和流轉，資料的重要性和對業務系統造成的潛在影響也會發生變化，需要針對車型制定細粒度的授權和訪問控制策略；而在形成安全產品時，要做到在合規保障和風險管控的前提下，透過研究資料的全生命週期和自動駕駛業務場景的全生命週期，確保業務安全與資料安全的共同良性發展。

現場專家也提出，合規實踐要與場景相結合。360數字安全科技集團有限公司政企安全智慧網聯汽車安全專家、資料安全業務總監田雪表示，360傾向於結合業務場景來實施隱私合規。

針對現場嘉賓普遍提出的資料權責不清問題，他表示，

應結合應用場景進行資料確權

，比如在資料採集側，由哪個業務部門採集資料，即由哪個部門負責資料確權；在資料分析側，由哪個部門形成資料分析報表，即由哪個部門負責資料確權。

落地實踐：資料安全是系統工程

經歷2021年政策密集出臺、解讀、宣導，智慧汽車資料安全治理要點不斷下沉，廣度深度大幅提升，智慧汽車資料安全治理的實踐和落地已經成為當下熱點。與會者普遍認為，資料安全防護的落地，不是單一功能的實現，而是系統工程、體系化建設。

國家智慧網聯汽車創新中心安全產品業務線總監靳龍輝認為，

資料安全防護體系的建設要遵循整體建設思路，從車端、路側、雲端、通訊資料，形成整體的安全治理和防護體系。

並從上而下建立國家層面、屬地層面、企業層面，車內到車外，事前、事中、事後的一體化監管體系。

上汽集團資訊戰略和網路安全部高階經理王一斌表示，汽車企業要想在國內外競爭中取得優勢，資料安全是門檻也是基礎，資料安全是個系統工程，需要體系化的建設與管理，無法一蹴而就。

未來智慧汽車資料安全將以實踐為中心，透過自上而下的政策制度引領，自下而上的企業戰略自驅以及技術能力快速演進三個核心方向，形成上下聯動呼應、技術底座支撐的穩定體系。

基於一體化推進和體系化設計的規劃思路，上汽集團目前初步建成了資料資產識別、資料流轉、審計溯源、風險管理等6層安全防護體系，形成了分層解耦的資料安全運營管理平臺。

針對主持人尚進博士代表觀眾發出的“從主機廠角度是否感受到終端消費者買單意願”提問，王一斌表示，資料安全能夠為消費者帶來安心感，成為新車的賣點，近期上汽主打的很多車型上都針對資料安全做了創新和實驗，比如在消費者生物資訊採集方面，透過光影的方法進行智慧識別。

中汽創智科技有限公司資訊保安首席技術官胡紅星也持類似觀點，他表示，儘管資料安全主要的驅動力是合規性，但由於終端使用者對隱私保護是能夠感知到的，資料安全也是銷售的亮點。

國汽智控資訊保安產品總監李沛盈從智駕域角度分享了資料安全產品落地實踐。

國汽智控為整車廠提供包括OS、硬體、雲、安全等在內的智慧駕駛計算基礎平臺，資料安全會貫穿OS的整個流程過程中。

國汽智控資料安全產品具有車規級、可落地、可擴充套件、支援法規、引領行業、自主研發、技術先進等特點，目前向整車廠提供包括快速版、增強版和省心版等三個產品版本，從而將資料分類分級、人臉脫敏、地理圍欄、資料出入境等安全防護能力提供給整車廠，整車廠也可以基於智控提供的安全防護能力做二次開發。目前國汽智控已經與主機廠就資料安全和OS達成合作，今年Q3會有一些車型實現量產。

中汽創智科技有限公司資訊保安首席技術官胡紅星從座艙域角度分享了基礎軟體的資料安全觀點與實踐。

他表示，基礎軟體具有如下特點，即實現軟硬體解耦，具備OS、應用介面和工具鏈，支援互換、複用和跨平臺移植，對實時性、安全性、可靠性、效能和運算要求都很高，同時要有可剪裁、可配置、適應性特點，且與場景密切相關。

智慧座艙已經逐年成為移動的生活空間和大資料中心，座艙作為資料安全的重要落地場景，不僅要對車內資料進行治理，而且資料涉及到使用者畫像和精準營銷。

他表示，目前的資料管理相對粗放，資料安全防護存在很多問題，一些主機廠因此不得不取消新功能的上線，這對主機廠形成新的挑戰。需要建立以資料為中心的安全防禦，實現資料與場景的緊耦合。

長征第一步：清理資料資產、資料分類分級

現場嘉賓對資料分類分級是安全防護的基礎這一點均感同身受。東軟集團物聯網研發中心產品經理張榮沛直言，不論買再多的資料安全產品，如果對自己的資料的採集和流轉不夠清楚，安全裝置最後發揮的作用非常有限，因此東軟將主要精力前置，為主機廠提供定製化的資料資產整理諮詢服務。

清理資料資產，建立資料清單由此成為資料安全防護的“萬里長征第一步”。

針對資料資產清理，中國電子資訊產業發展研究院副總工程師安暉提出，應在管理層面建立分類分級管理臺賬，充分識別重要資料和使用者個人資料；在技術層面，對相關資料要採取去標識化的措施，對於重要敏感資料要加密處理，同時要進行許可權的訪問控制。

國家工業資訊保安發展研究中心保障技術所資料安全研究所技術總工柳彩雲聚焦裝備工業分享了作為工業資料處理者，識別重要資料和核心資料、形成資料分類分級清單的經驗。

她重點介紹了重要資料和核心資料的評價維度，比如車流量、物流資料如果能夠反映到整體的國民經濟執行，這類資料應作為重要資料進行管理。

國家智慧網聯汽車創新中心安全產品業務線總監靳龍輝則表示，資料可以從國家資料、公共資料、企業資料、個人資料等多個角度，分為公開級、內部級、敏感級、重要級、核心級，不同等級的資料應採取不同的資料安全防護的手段和措施，高等級資料應在一般資料安全保護的基礎上再採取更加嚴格的全生命週期的監管手段。

結語

沒有資料安全，就沒有智慧汽車安全，也會影響國家安全。

尚進博士在總結髮言中表示，Security is a journey that never ends（安全永無止境）。資料安全建設是包含監管、管理、生態、測試、應急響應、產品在內的整套體系，重點挑戰在產品，這也是資料安全防護體系在借鑑基礎上融合和創新的關鍵，資料安全離不開自動駕駛的耦合也更需要真正落地的產品。

業界需要攜手共同努力，透過產品落地和監管反饋，來實現政策法規的落地，在保障智慧汽車資料安全的同時，推動監管和中國方案的持續完善。